Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
webauthn_study_ritou.pdf
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
ritou
October 28, 2019
Technology
3
1.2k
webauthn_study_ritou.pdf
2019/10/28 開催の #webauthn_study の発表資料です。
https://web-study.connpass.com/event/149833/
ritou
October 28, 2019
Tweet
Share
More Decks by ritou
See All by ritou
[PR] はじめてのデジタルアイデンティティという本を書きました
ritou
1
860
“パスワードレス認証への道" ユーザー認証の変遷とパスキーの関係
ritou
2
6k
パスキー導入の課題と ベストプラクティス、今後の展望
ritou
12
7k
Password-less Journey - パスキーへの移行を見据えたユーザーの準備 + α
ritou
1
150
Password-less Journey - パスキーへの移行を見据えたユーザーの準備 @ AXIES 2024
ritou
4
1.8k
OIDF-J EIWG 振り返り
ritou
2
88
そのQRコード、安全ですか? / Cross Device Flow
ritou
4
630
MIXI Mと社内外のサービスを支える認証基盤を作るためにやってきたこと #MTDC2024
ritou
3
770
Passkeys and Identity Federation @ OpenID Summit Tokyo 2024
ritou
2
960
Other Decks in Technology
See All in Technology
無ければ作る! バイブコーディングで作ったものを一気に紹介
tatsuya1970
0
110
CDK対応したAWS DevOps Agentを試そう_20260201
masakiokuda
1
130
30万人の同時アクセスに耐えたい!新サービスの盤石なリリースを支える負荷試験 / SRE Kaigi 2026
genda
1
120
レガシー共有バッチ基盤への挑戦 - SREドリブンなリアーキテクチャリングの取り組み
tatsukoni
0
170
15 years with Rails and DDD (AI Edition)
andrzejkrzywda
0
150
分析画面のクリック操作をそのままコード化 ! エンジニアとビジネスユーザーが共存するAI-ReadyなBI基盤
ikumi
0
130
システムのアラート調査をサポートするAI Agentの紹介/Introduction to an AI Agent for System Alert Investigation
taddy_919
2
1.4k
GCASアップデート(202510-202601)
techniczna
0
240
【5分でわかる】セーフィー エンジニア向け会社紹介
safie_recruit
0
41k
Embedded SREの終わりを設計する 「なんとなく」から計画的な自立支援へ
sansantech
PRO
2
1.5k
(金融庁共催)第4回金融データ活用チャレンジ勉強会資料
takumimukaiyama
0
100
SREが向き合う大規模リアーキテクチャ 〜信頼性とアジリティの両立〜
zepprix
0
350
Featured
See All Featured
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
How People are Using Generative and Agentic AI to Supercharge Their Products, Projects, Services and Value Streams Today
helenjbeal
1
110
Scaling GitHub
holman
464
140k
Become a Pro
speakerdeck
PRO
31
5.8k
How to Build an AI Search Optimization Roadmap - Criteria and Steps to Take #SEOIRL
aleyda
1
1.9k
WCS-LA-2024
lcolladotor
0
440
My Coaching Mixtape
mlcsv
0
45
Into the Great Unknown - MozCon
thekraken
40
2.2k
How to Align SEO within the Product Triangle To Get Buy-In & Support - #RIMC
aleyda
1
1.4k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
25
1.7k
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
baasie
0
440
The innovator’s Mindset - Leading Through an Era of Exponential Change - McGill University 2025
jdejongh
PRO
1
88
Transcript
WebAuthnの導入事例から見る 定石と今後の課題 @ritou #webauthn_study 2019/10/28
@ritou
本日の内容 •事例から導入のポイントを整理 •2段階/2要素としての導入 •「パスワードレス」としての導入 •GOAL:不安になりそうな部分を認識し て導入に向けた一歩を踏み出す
2段階/2要素としての導入
の前に、リカバリーの話
by 誰か “FIDOはリカバリーが課題だよね”
アカウントリカバリー •利用不可能になったクレデンシャルの無効 化&再設定 •パスワード •TOTP(Secret) •リカバリーコード •Authenticator(PublicKey) •別の認証方式 or 複数登録
に収束
パスワード認証における リカバリー •忘れた •別の認証方式 + 再設定 •利用できない環境 •覚えてればあらゆる環境で利用可能
SMS/Emailへ通知における リカバリー •番号、メアドが変わった •別の認証方式 + 無効化/再設定 •一時的に利用できない環境、状況 •別の認証方式
TOTPにおける リカバリー •手元の端末の設定消した、落とした •別の認証方式 + 無効化/再設定 •一時的に利用できない環境、状況 •別の認証方式
リカバリーコードの リカバリー(?) •紛失、盗難 •別の認証方式 + 無効化/再発行 •一時的に利用できない環境、状況 •別の認証方式
FIDOにおける リカバリー •紛失、盗難 •別の認証方式もしくは複数登録可能 にして無効化/再設定 •利用できない環境 •別の認証方式
リカバリーは それほど問題ではない
(改めて) 2段階/2要素としての導入
導入事例 •Google, Github… •パスワード認証との組み合わせ •間違っても単一要素で通さない
どこに手を入れるか •アカウント設定 •認証 •再認証 •(2段階/2要素が必須でない限りは)新 規登録の対応は任意
アカウント設定 •追加認証を有効にする •リカバリー設定 : 別の認証方式を用意 •SMS/Emailによる通知 •リカバリーコード設定 •Authenticator(PublicKey)設定 •名前をつけるタイミング?
アカウント設定 (Github)
認証 •パスワード認証+追加認証を要求 •複数ある場合に優先する認証方式? •設定やWebAuthnの利用可否で分岐? •別の認証方式への切り替え •スキップ機能 = Cookieの所持認証?
認証(Github)
再認証 •例 : Github •「パスワード確認」していたところ に WebAuthn が利用可能
再認証(Github)
検討事項
(検討事項) リカバリー用の認証方式 •海外サービスでは最低でも2つは用意 している模様 •SMS •リカバリーコード •カスタマーサポートの負担が決まる
(検討事項) 利用可能な環境の制限 •制限する場合は管理が必要 •User-Agent •Platform or Cross-platform •Attestation
(検討事項) 追加認証要求のタイミング •パスワード認証「成功」したら要求 •パスワード認証結果に関わらず要求 •パスワード認証前に要求
まとめ •アカウント設定のあたりは定石と呼 べるものができており、環境を縛る かどうかぐらいか •認証部分はまだ考慮すべき点がある かも?
パスワードレスとしての導入
2段階/2要素に比べて なんとなく不安?
やはりリカバリー?
(あなたの思う) パスワードレスとは? •パスワードを使わない •所持 or 生体 or 記憶(ローカル?) •FIDO UP(UserPresent)はNG?
•FIDO UV(UserVerified)相当 •所持 + (記憶 or 生体)
パスワードを使わない •単一要素の認証方式とFIDO UVの組み 合わせ •SMS/Email/Pushへの通知 •ソーシャルログイン •緩いとこに攻撃を受ける覚悟が必要
FIDO UV相当 •複数要素の認証方式が必要 •それがなかったからFIDOなんだろ? •他のサービスで2段階/2要素してる IdPとのID連携? •IdPがMFAを保証してくれたら使え そう -> OpenID
Connect!
どこに手を入れるか •アカウント設定 •認証 •再認証 •新規登録(FIDO必須な場合)
検討事項
(検討事項) Resident Keyの利用 •サービスのユーザー識別を先にする かどうか •メアドやSMSを入れる手間を減らせ るか? •RK非対応環境ではどうする?
RedidentKey利用アリ (Microsoft)
RedidentKey利用ナシ (Y!J)
(検討事項) 新規登録フロー、リカバリー •リカバリー考慮して効率的に2種類 の認証方式を設定するには? •新規登録も要件の分解が必要 •連絡先、属性情報、クレデンシャル •#iddance でやるよ
まとめ •リカバリー用に別の認証方式は必要 •サービスが必要とする認証要素によ り、実装に幅が出そう •新規登録フローについてはまだ手本 となるサービスはなさそう
終わり •質問などは @ritou までください •11/1(金)に #iddance やります
ritou
tatsuya1970
masakiokuda
genda
tatsukoni
andrzejkrzywda
ikumi
taddy_919
techniczna
safie_recruit
sansantech
takumimukaiyama
zepprix
samlambert
.png){kind=avatar}
helenjbeal
holman
speakerdeck
aleyda
lcolladotor
mlcsv
thekraken
honnibal
baasie
jdejongh
